Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Gibt es hier Kaspersky Internet Security 2015 Nutzer?
Rokop Security > Security > Trojaner, Viren und Würmer
pringle44
ich hab mal eine kleine Bitte an alle die das lesen uns KIS 2015 nutzen (ich habe Version 15.0.0.463):

Könnt ihr mal folgende Datei bei virustotal.com hochladen und mir das Ergebnis posten?

C:\ProgramData\Kaspersky Lab\AVP15.0.0\Bases\rollback.dll

Der Grund ist recht einfach: Ich hab gestern einen Scan mit desinfec't 2015 gemacht und da hat mir Avira die Datei als TR/Crypt.XPACK.Gen gemeldet

Und obwohl ich es mir nicht vorstellen kann, dass es ein Schädling ist, würd ich gern wissen wie es bei anderen aussieht.

meine rollback.dll ist übrigens Version 2.0.0.857

Vielen Dank schon mal an alle
Rocky
hallo pringle44

das solltest Du aber selbst machen,

hier : https://virustotal.com/ und die Datei selbst hochladen.

Das desinfec't 2015

https://www.youtube.com/watch?v=yY8oqG_6Nwc
kenn ich gar nicht, nun die Frage von mir, was hat Avira damit zu tun?

https://www.avira.com/de/support-threats-su...Crypt.XPACK.Gen

kann man auch da hochladen.

ich habe kein KIS , aber Avira . wink.gif
Schulte
Avira hat offensichtlich die Signatur angepasst.

Die Datei wird (von Avira) nicht mehr bemängelt: https://www.virustotal.com/en/file/eef1448b...aa3df/analysis/
wotan
Avira ist in diesem Punkt oft etwas "nervös" und neigt zu Warnung bzw. Blockade.
Aber besser so als umgekehrt...
Rocky
ZITAT(Schulte @ 30.03.2016, 21:56) *
Avira hat offensichtlich die Signatur angepasst.

Die Datei wird (von Avira) nicht mehr bemängelt: https://www.virustotal.com/en/file/eef1448b...aa3df/analysis/


Jetzt habe ich es auch gecheckt, ich hatte etwas anderes hochladen wollen... wink.gif
Solution-Design
ZITAT(wotan @ 30.03.2016, 22:02) *
Aber besser so als umgekehrt...


Nein... Besser richtig als so wink.gif Aber das ist noch gar nichts. Scanne mal einen etwas wilderen mit Tools und Games vollgepackten PC mit herdProtect. Bei so vielen Avira-Engine-FPs vergeht einem die Lust. Dagegen ist Avira selbst harmlos. Auch wenn der obige Fehler fast schon wieder peinlich ist.
pringle44
@Rocky sorry wenn das nicht so klar rüber kam, aber ich hab es natürlich auch bei virustotal.com hochgeladen und dort wurde es natürlich auch von Avira als Trojaner erkannt

es ging mir ja darum eine Aussage von anderen Leuten zu haben, die die gleiche Datei haben müssten um zu sehen ob bei meinem System was nicht stimmt oder ob es die Datei bzw. Signaturen im Allgemeinen sind

und desinfec't ist ne recht praktische Sache, gibt es einmal im Jahr bei der Zeitschrift c't (meist die April Ausgabe glaube ich), das ist eine Rescue CD (Ubuntu-Basis) mit der man seinen PC gleichzeitig bzw. hintereinander mit Kaspersky, Avira und Bitdefender on demand scannen kann. Hin und wieder kann eine zweite Meinung halt nicht schaden, denk ich mir.

Aber wie Schulte schon sagt, müssen die Signaturen von Avira innerhalb der letzten 1-2 Stunden wohl angepasst worden sein, so das es jetzt auch auf virustotal.com nicht mehr als Trojaner erkannt wird

und das ist gut so und das Thema damit erledigt :-)
Rocky
Alles klar @pringle44, habe wieder dazu gelernt. Danke- smile.gif
wotan
[Zitat Solution-Design 30.03.2016, 22:29 Uhr] Nein... Besser richtig als so wink.gif
...bin ich nicht deiner Meinung.
Selbstverständlich sollte Malware korrekt erkannt werden.
Aber mir ist ein FP lieber als wenn etwas bösartiges unerkannt durchrutscht.
Schulte
Wahrscheinlich ist das Ganze nur ein dummer Zufall.

Die Avira-Signatur dürfte schon einige Jahre auf dem Buckel haben, das KL-Modul ist brandneu.
Da kann man keinem einen Vorwurf machen.
J4U
ZITAT(Schulte @ 30.03.2016, 22:51) *
Die Avira-Signatur dürfte schon einige Jahre auf dem Buckel haben,
War eine generische Erkennung. Passiert halt, wenn man unter Linux Windows-Dateien scannt.
pringle44
ZITAT(J4U @ 30.03.2016, 23:11) *
War eine generische Erkennung. Passiert halt, wenn man unter Linux Windows-Dateien scannt.


sorry aber die Erkennung hat doch mit dem Linux nix zu tun...
Schulte
ZITAT(J4U @ 30.03.2016, 23:11) *
War eine generische Erkennung.

Danke Dir. Dann macht bei Avira das '.Gen' den Unterschied?

Sollte dann aber unter jedem BS auftreten. Eine taugliche proaktive Erkennung unter Windows haben sie meines Wissens nach wie vor nicht (und würde bei VT auch nicht zum Zuge kommen).
Solution-Design
ZITAT(wotan @ 30.03.2016, 22:39) *
[Zitat Solution-Design 30.03.2016, 22:29 Uhr] Nein... Besser richtig als so wink.gif
Aber mir ist ein FP lieber als wenn etwas bösartiges unerkannt durchrutscht.


Kann und darf man geteilter Meinung drüber sein. Ich hasse FPs und bin froh, dass sich auch Emsisoft dieser Meinung angeschlossen hat und somit Ikarus ins Nirvana schickte. herdProtect nutzt die Avira-Signaturen, aber die FPs in diesem Scanner würden bei mir regelmäßig wichtige Anwendungen großer Hersteller wie SAP, VMware, Adobe und auch meinen Steam-Schuhschrank leerräumen. Somit sind FPs für mich ein no-go. Warum es gerade bei herdProtect (dem Entwickler des heute genannten Defenders) so ist... unsure.gif
J4U
ZITAT(Schulte @ 30.03.2016, 23:52) *
Sollte dann aber unter jedem BS auftreten.
Sollte, Du hast aber immer wieder Unterschiede. Ist doch auch manchmal bei Virustotal & Co., die erkennen nix und der lokal installierte Scanner schlägt an - oder umgekehrt.
Wenn, wie hier, ein Scanner im Verzeichnis eines anderen Scanners "wildert", dann sind schon häufig die lustigsten Ergebnisse heraus gekommen.
pringle44
also ich will ja nicht nerven aber nachdem die Datei gestern Nacht nicht mehr von Avira erkannt wurde wird sie jetzt wieder erkannt als TR/Crypt.Xpack.wwrf

also nicht mehr .gen am Ende sondern .wwrf (was immer das heißt)

hab zwar inzwischen eine Rückmeldung von Avira (von heut Nacht 0:40) das es ein Fehlalarm war, aber jetzt das

ich kapier das nicht, was machen die denn bei Avira?

Hier der Scan

https://www.virustotal.com/en/file/eef1448b...sis/1459445234/
J4U
ZITAT(pringle44 @ 31.03.2016, 19:45) *
ich kapier das nicht, was machen die denn bei Avira?
Ich weiß nicht, was in der rollback.dll steht und was Avira da erkennt oder meint, zu erkennen. Es ist trotzdem immer eine Sch...idee, einen Virenscanner mit einem Virenscanner zu überprüfen. Vergiss es einfach.
blueX
ZITAT(J4U @ 31.03.2016, 21:09) *
Ich weiß nicht, was in der rollback.dll steht und was Avira da erkennt oder meint, zu erkennen. Es ist trotzdem immer eine Sch...idee, einen Virenscanner mit einem Virenscanner zu überprüfen. Vergiss es einfach.


Was soll daran keine gute Idee sein, mit einer Linux-Boot-CD den PC zu überprüfen?

Ich denke, dir ist die Arbeitsweise von Desinfect nicht bekannt.

Solution-Design
Abgesehen davon, dass sich auf diese Weise RootKits toll erkennen lassen, sprach er nicht davon wink.gif

Edit: Allerdings sollte ein AV ein anderes AV wirklich nicht maliziös einstufen.
J4U
ZITAT(blueX @ 02.04.2016, 15:14) *
ZITAT(J4U @ 31.03.2016, 21:09) *

Ich weiß nicht, was in der rollback.dll steht und was Avira da erkennt oder meint, zu erkennen. Es ist trotzdem immer eine Sch...idee, einen Virenscanner mit einem Virenscanner zu überprüfen. Vergiss es einfach.
Was soll daran keine gute Idee sein, mit einer Linux-Boot-CD den PC zu überprüfen?
Äh, wo habe ich das geschrieben? unsure.gif
J4U
ZITAT(Solution-Design @ 02.04.2016, 17:23) *
Allerdings sollte ein AV ein anderes AV wirklich nicht maliziös einstufen.
Passiert immer mal wieder, das sollte man eben wissen und auch beherzigen.

Es haben AVs schon Windows als Virus eingestuft - und das vor 10 biggrin.gif
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.